/MEGOLDVA/ Captcha ellenére megjelennek spam-ek.

Spam, Adathalászat

Nagy a gyanúm, hogy az ehhez hasonló üzeneteket manuálisan juttatják el a címzetthez:

Üzenetet kapott tőle

Név : HenrySlado
Email: Perrenozp427@yahoo.com	

Make dollars just sitting home. 
https://profit-gold-strategy.life/?u=bdlkd0x&o=x7t8nng

A hunvagyok.hu főoldalon a Lépjen kapcsolatba velünk  felületen küldte el.

Ez elterjedt "technika" ?

 

Annyi megoldási lehetőség van, hogy ki-ki válogathat kedvére, én is ezt teszem és köszönöm az ötleteket.

  • 967 megtekintés

( uid_17626 | 2022. 04. 15., p – 16:31 )

Szűrd a tartalmat. Pl ne engedj url-t.

( Imo | 2022. 04. 15., p – 18:30 )

Szerkesztve: 2022. 04. 15., p – 18:30

Lehet, hogy gyenge az a captcha és néha felismeri a bot.

Használj recaptcha-t: https://www.google.com/recaptcha/about/

Másik varáció, hogy hibásan van implementálva a captcha és valamilyen trükkös esetben elfogadja a szerver oldal a beküldést jó captcha nélkül is.

( yoursoft | 2022. 04. 15., p – 19:40 )

Nálam az vált be, hogy kirakok egy plusz mezőt pl. "name". Ezt css-el elrejtem és ha kitölti, azzal nem foglalkozom. Csak egy 200-at válaszolok vissza, mintha rendben lenne, de valójában megy a kukába.

( hajbazer v | 2022. 04. 15., p – 20:53 )

Szerkesztve: 2022. 04. 15., p – 20:56

Ritka szánalmas, hogy jelenleg itt tart a szakma, hogy a fősodratú tanácsok kimerülnek a felhasználót alapdolgokban korlátozásban (URL tiltása) és egy tech-multi adatgyűjtögető-követgető készmegoldásának legkisebb ellenállás felé tendáló behúzásában (recaptcha).

Az én javaslatom az, hogy tegyél bele egy botok számára nem szokványos, de a magyar köztudatban mégis ismert kérdést, például az oldal témájával kapcsolatban.

  • Merre nyilaznak a magyarok? Válasz: hátrafelé regex: h[aá]tra(?:fel[eé])?
  • Írd be a magyar ábécé utolsó 4 betűjét! (xyzzs)
  • Írd be az oldal címét pont hu végződés nélkül! (hunvagyok)
  • Írd be a születési hónapod! (március, április, május stb.)
  • Itt visszaellenőrzöd, hogy a megadott dátumhoz stimmel-e.
  • 1, 2, 4, 8, 16 Melyik a középső szám? (4)

A kérdésekből választasz véletlenszerűen egyet és nem engeded tovább, amíg nem tudja rá a választ (vagy igen, csak kidobod a postot, ha rosszul válaszolt - de ezzel megint szivatod a felhasználót). Mindenképp kerüld a captcha és egyéb szakzsargont, amiből egyértelműen azonosítható, hogy ez egy ellenőrző mező.

Azt gondolom, hogy ha a honlappal már foglalkoztál jónéhány munkaórát, akkor nem kéne nehézséget okozzon a saját kérdések kiötletelése.

Egyébként szerintem yoursoft ötlete a legjobb, legkevesebb időbefektetéssel megvalósítható alternatíva.

"Szűrd a tartalmat. Pl ne engedj url-t."

Ezt írtam. Mi bajon vele? kb ugyanazt ajánlod. Az url csak egyetlen példa volt.
Megjegyzem a helyes gyakorlat az lenne, ha lépesenként javítaná a formot. Így gyakrabban tudna kódot szállítani. A javaslatom csak egy lépés, más néven egyetlen egy PDCA ciklusként értelmezhető.

Mi bajon vele?

Leírtam: A tisztességes felhasználót egy alapfunkcionalitásban korlátozod.

kb ugyanazt ajánlod.

Egyáltalán nem ajánlottam tartalomszűrést.

Az url csak egyetlen példa volt.

Egyetlen példa arra, hogyan nem szabad a spammerek ellen védekezni.

A javaslatom csak egy lépés, más néven egyetlen egy PDCA ciklusként értelmezhető.

Remélem, kényelmesen ülsz a PDCA-babzsákodon.

Már megint fogalmatlan vagy. Tudod miért használjan egy spammer a formodat? Hogy eljuttassa az üzenetét. Mit fog tenni, ha a formod erre alkalmatlan lesz? Keres egy másikat.

Na ezért is kell szűrni. Van olyan ember akinek a családneve hosszabb, mint 40nkarakter? Akinek ez különleges karaktert tartalmaz? Esetleg url-ben használt [:/#?=] Karakterek valamelyikét?

De ha valaki pl. hibat akar reportalni akkor be fogja masolni az URL-t ahol elojon a problemaja, igy csak siman erre szurni valoban nem tunik jo otletnek! Szerintem is erdemesebb a captchan modositani vagy tenyleg olyan kerdest feltenni amire egy bot nem fog tudni valaszolni...

A speci kerdesek valaszai szivatosak lehetnek.

1. Az ellenseg fele; lefele mert lovon vannak; menetirannyal ellentetesen; nem tudom, rossz voltam toribol

2. wxyz, mert a zs az ket karakter, a nyelvtantanar meg feldughatja a velemenyet, alapbol az a betu aninek van ASCII kodja, a tobbi csak mellebeszeles, (igen UTF8, tudom...) de nekem a dzs nem egy onallo valami, ellenben a Pluto bolygo es punktum.

3. Aszongya cimsor, az a kek, ott felul? Annak a vege az, hogy internet explorer...

4. VI.

5. Ez nem is pont

6. A negyes

Az otlet jo, csak a valaszokat eleg egzaktra kene faragni. Igazabol lehetne egy nehany pontbol allo radiobutton a chapta, igy irni sem kell, csak valasztani, ami felhasznalobaratabb.

( YleGreg | 2022. 04. 15., p – 21:21 )

A rejtett mezos otlet nagyon tetszik, le is nyultam, csak mondom. :-)

Most eppen egy chapta light megoldast keszitettem, tenyleg csak egy egyszerut, miszerint kirakok egy egyszamjegyu szamokbol allo osszeadast vagy kivonast. Ez szerintetek hasznal valamit, vagy tul egyszeru?

A számok fognak változni?

php példa: counting.php két session mezőbe tárolja el a  generált kérdést és az eredményt. Ezt a mezőt a form-os oldal js-sel húzza be. Így a következő behúzásig a session-ben a tartalom változatlan, magyarul a form-ban küldött adat és a session-ben található megegyezik/megegyezhet. Ez is könnyen törhető, csak sok automata scripttől szabadulsz meg.  Nekem eddig a szigorú pattern vált be. Ezt a patternt mind UI-n, mind szerveroldalon alkalmazom. Olyanokat, mint pl.:

<input type="text" name="lastname" id="lastname" value="" size="40" pattern="[a-zA-ZáéíóöőúüűÁÉÍÓÖŐÚÜŰ\.\-\s]{3,40}" title="Minimum 3 karakter (A-Z, -, space)" required="">

Ugyanez a pattern szerveroldalon. A kliens oldal "semmi" ellen nem véd. Nem a saját webformodon keresztül küldi a támadó az adatot.

Hat, az en kodom eleg paraszt. :-)

Szerver oldalon mindent ellenorzok, specialchars es utana regexp alaki ellenorzes van minden mezore, nincs kivetel.

A chapta ugy nez ki, hogy szerver oldalon generalom, random szam es muvelet, ez megy ki a JS retegbe, ott pedig visszakuldom amit a felhaszno ir be eredmenyt, es az eredeti kerdest is, utobbit kicsit parasztosan 2 karakterre kodolom. Ez utobbi konnyen torheto, de nem ember ellen akarok vedekezni, hanem gepek ellen.

A form validate muveletei addig disabledben tartjak a submit gombot amig nincs minden helyesen kitoltve, de a chapta mezore csak azt nezi, hogy ne legyen ures.

Attol tartok, hogy ha lenne egy JS fuggveny ami megnezi, hogy helyes-e a chapta, es eszerint is menne a disabled/enabled, akkor erre a fuggvenyre lehet, hogy rarabolna a bot is. Vagy ez mar paranoia?

A tied olyanoktól nem véd akik nem a te formodon keresztül posztolnak. Márpedig ez a gyakoribb.

 

Amit én írtam megoldást az annyival jobb, hogy csak a counting.php módosítja a session-t, így annak tartalma változatlan marad és ellenőrizhető szerveroldalon.

( arpi_esp v | 2022. 04. 16., szo – 10:22 )

ezek a szam-maszatolos kacsak akkor mukodtek jol, amikor meg csak hagyomanyos OCR szoftverek voltak (ami pixelenkent osszehasonlitgatta adott font karaktereit). manapsag mar neuralis halot hasznalnak OCR-re, ami pont ugy mukodik mint az ember agya, azaz ha te el tudod olvasni, akkor a NN is el tudja.

amugy regen is azt csinaltak, hogy a tamadott site-ok captcha-it hasznaltak fel a file-letoltos warez oldalakon (a torrent elotti idokben ez nagy divat volt), es igy az ottani user megfejtette nekik ingyen.  meg voltak ilyen szolgaltatok is, akik fillerekert fejtettek captchakat, emberi eroforrassal (gondolom marek rizsert kinai gyerekekkel vagy nigeriai ehezokkel).

( denton | 2022. 04. 17., v – 21:06 )

1. A rejtett mezős pötsölésről 10 éve hallottam először, szerintem elavult

2. Az oldalon mezei gagyi captcha van

3. Miért nem használsz google recaptcha-t?

Érdekességképp, úgy látom, hogy a captcha háttere ami "zavart" akar okozni, ugyanabból a 3-4 mintából áll. Bár nem csinálok ilyet, de sejtem, hogy ha az összes ilyen hátteret remove-olják a képről (pl fehérrel kitörlik), akkor egy kicsit okosabb szoftverrel valszeg beolvasható már a string, ha nem is 100%-os sikerrel.

Úgy extraként azért megkérdem, ha eddig nem tettem volna. Miért nem google recaptcha-t használsz?

( kassaiviktor | 2022. 04. 17., v – 21:45 )

ez egy borzalmas captcha, ami az oldalon van.

10-szer letöltöm a képet (elégszer más minta lesz), összeadom a képeket, és máris egy egyszerű felismeréssel felismertetem a kódot.

használj recaptchát

4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.

( bkil | 2022. 04. 19., k – 12:41 )

Vagy lehet használni bármi mást is a Google reCAPTCHA helyett, akár többet egymás alatt:

Amennyiben a hibabejelentő a hibás oldal URL-jét is be szeretné másolni, az a saját domain alá mutat amit triviális regexp útján ellenőrizni (de lásd még: DNSBL). Ezt viszont JavaScript oldali ellenőrzéssel is megfognám és/vagy az űrlap alatt feltüntetném szövegesen, különben nagyon szomorú lesz a felhasználó.

Még egy tipp, hogy lehet becsülni a hozzászólás nyelvét, mivel magyar formon más nyelven való megkeresésre nem is számítana az ember.

Még egy tipp, hogy néhány értelmes és emberi strukturált mezőt is érdemes lehet felvenni az űrlapra (legördülővel vagy rádiógombbal), úgy mint: a megkeresés tárgya, altémája és hol hallott rólunk. Ezen listákba szintén fel lehet venni néhány csapdaként szolgáló választ is ami alapértelmezés volna, és volna is információtartalma annak aki ezt kitölti.

Végül létezik egy csomó FOSS levélszemét szűrésére szakosodott eszköz és csomag, amit simán rá lehet ereszteni a beküldött űrlapokra és az alapján is kukázni. Ezek is megfogják a fennmaradó legarcátlanabb kulcsszavakat. Kicsit továbbgondolva lehetne a form action=mailto:jaj.N__e--ke+m@a.b.c.d.e.f.g.h.i.exampLe.com?subject=Megkeresés🎧?&amp;cc=-@🤘.examPle.com